Un bug d'application Twitter a été utilisé pour faire correspondre 17 millions de numéros de téléphone aux comptes d'utilisateurs – TechCrunch

Un chercheur en sécurité a déclaré avoir jumelé 17 millions de numéros de téléphone à Twitter comptes d'utilisateurs en exploitant une faille dans l'application Android de Twitter.

Ibrahim Balic a constaté qu'il était possible de télécharger des listes entières de numéros de téléphone générés via la fonction de téléchargement des contacts de Twitter. "Si vous téléchargez votre numéro de téléphone, il récupère les données utilisateur en retour", a-t-il déclaré à TechCrunch.

Il a déclaré que la fonctionnalité de téléchargement des contacts de Twitter n'accepte pas les listes de numéros de téléphone au format séquentiel – probablement comme un moyen d'empêcher ce type de correspondance. Au lieu de cela, il a généré plus de deux milliards de numéros de téléphone, l'un après l'autre, puis a randomisé les numéros et les a téléchargés sur Twitter via l'application Android. (Balic a déclaré que le bogue n'existait pas dans la fonction de téléchargement sur le Web.)

Sur une période de deux mois, Balic a déclaré avoir égalé les enregistrements d'utilisateurs en Israël, en Turquie, en Iran, en Grèce, en Arménie, en France et en Allemagne, a-t-il déclaré, mais s'est arrêté après que Twitter ait bloqué l'effort le 20 décembre.

Balic a fourni à TechCrunch un échantillon des numéros de téléphone auxquels il correspondait. À l'aide de la fonction de réinitialisation du mot de passe du site, nous avons vérifié ses résultats en comparant une sélection aléatoire de noms d'utilisateur avec les numéros de téléphone fournis.

Dans un cas, TechCrunch a pu identifier un haut responsable politique israélien à l'aide de son numéro de téléphone correspondant.

Bien qu'il n'ait pas alerté Twitter de la vulnérabilité, il a apporté de nombreux numéros de téléphone d'utilisateurs de haut niveau de Twitter – y compris des politiciens et des fonctionnaires – à un groupe WhatsApp dans le but d'avertir directement les utilisateurs.

On ne croit pas que les efforts de Balic soient liés à un article de blog Twitter publié cette semaine, qui a confirmé qu'un bogue aurait pu permettre à "un mauvais acteur de voir des informations de compte non public ou de contrôler votre compte", comme des tweets, des messages directs et des informations de localisation.

Un porte-parole de Twitter, une fois atteint, n'a pas immédiatement commenté en dehors des heures d'ouverture.

Il s'agit de la dernière défaillance de sécurité impliquant des données Twitter au cours de la dernière année. En mai, Twitter a admis avoir fourni des données de localisation de compte à l'un de ses partenaires, même si l'utilisateur avait choisi de ne pas partager ses données. En août, la société a déclaré avoir fourni par inadvertance à ses partenaires publicitaires plus de données qu'elle n'aurait dû. Et le mois dernier, Twitter a confirmé qu'il utilisait les numéros de téléphone fournis par les utilisateurs pour l'authentification à deux facteurs pour diffuser des annonces ciblées.

Balic était auparavant connu pour avoir identifié une faille de sécurité qui avait affecté le centre de développement d'Apple en 2013.



Traduit de la source : https://techcrunch.com/2019/12/24/twitter-android-bug-phone-numbers/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.